▲금융회사나 전자금융업자는 매년 정보기술부문 추진목표 및 전략·투입 인력·예산 등의 추진실적과 향후계획을 수립해 대표자의 확인을 받아 금융위에 제출해야 한다.(자료사진)

앞으로 금융회사는 매년 IT 부문에 대한 추진목표와 전략, 인력, 예산 등의 추진실적과 향후 계획을 수립하고 대표자의 서명을 받아 금융위원회에 제출해야 하고 해킹사고 발생시 금융회사가 이용자의 손해에 대해 1차적 책임을 부담하게 된다.

금융위원회는 15일 해킹사고 등이 발생했을 때 금융권 금융전산 보안강화 대책을 담은 ‘전자금융거래법 시행령 개정안(이하 전금법)’을 21일부터 9월 30일까지 입법·예고했다. 관련 제도운영 과정에서 제기된 개선사항 등을 반영하겠다는 취지에서다.

전금법 주요 개정사항으로는 ▲해킹사고로 인한 이용자 손해에 대한 금융회사의 일차적 책임 명확화 ▲금융회사 등의 정보기술부문 계획 수립·금융위 제출 의무화 및 계획 관련 CEO책임 강화 ▲금융회사 전자금융기반시설의 취약점 분석·평가 의무화 ▲해킹 등 전자적 침해행위 금지 및 침해행위에 대한 대응 체계 강화 ▲금융회사 등이 전자금융거래 안정성 확보의무 불이행시 제재 근거 신설 등의 내용을 담고 있다.

개정안에 따르면 해킹사고 발생시 금융회사가 이용자의 손해에 대해 1차적 책임을 부담하게 됨에 따라 금융회사의 전자금융거래 보안성 확보 노력이 강화된다.

이에 따라 공인인증서를 발급받거나 인터넷뱅킹으로 하루 누적 300만원 이상 이체시 추가적인 본인인증을 거치도록 하는 서비스가 다음달 26일부터 전면 시행될 예정이다.

금융회사나 전자금융업자는 매년 정보기술부문 추진목표 및 전략·투입 인력·예산 등의 추진실적과 향후계획을 수립해 대표자의 확인을 받아 금융위에 제출해야 한다.

또 금융사 취약점에 대한 분석 및 평가 항목에 외부 위탁된 정보기술부문, 전자금융보조업자 시스템이 추가됐다.

이밖에 금융위가 금융사에서 발생한 침해사고 대응 관련 업무가 종전보다 확대됐고 중소 금융사의 정보보호최고책임자 자격 요건은 완화됐다.

정보보안에 대한 인식 제고를 위해 정보보호최고책임자(CISO) 업무에 임·직원에 대한 정보보안 교육 책무를 명시하도록 했다.

일부 중소 금융회사의 경우 내부인력 중 CISO 자격요건을 충족하는 자가 없어 지정에 애로를 겪고 있는 점을 감안해 CISO 자격요건을 완화했다.

종업원수가 일정 규모(20명) 이하인 농협·신협 등의 단위조합 및 새마을금고는 대표자 또는 대표자가 지정하는 자를 CISO로 운영할 수 있다.

단, 전자금융업무를 수행하지 않는 금융회사 중 종업원 수가 200명 미만이거나 영업수익이 200억원 이하인 금융사는 전금법상 주요의무 적용 대상에서 제외됐다. 규모가 작은 금융사는 전금법 의무이행에 따른 부담이 클 수 있다는 점이 고려됐다.

이와 함께 금융회사 등이 보안강화를 위해 요구하는 본인확인절차를 이용자가 정당한 이유 없이 거부하거나 이용자가 본인인증수단 또는 매체를 대여, 위임, 제공 또는 누설, 노출, 방치하는 경우도 고의, 중과실 범위에 추가하도록 했다.

금융당국이 지난 7월11일 발표한 ‘금융전산 보안강화 종합대책’에서 다룬 각종 대책을 법으로 규정한 것이다.

금융위는 입법예고 이후 규제개혁위원회, 법제처의 심사 등을 거쳐 오는 11월 23일부터 본격 시행된다.